Om sikkerhetsinnholdet i iOS 16.4 og iPadOS 16.4

Dette dokumentet beskriver sikkerhetsinnholdet i iOS 16.4 og iPadOS 16.4.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

iOS 16.4 og iPadOS 16.4

Utgitt 27. mars 2023

Accessibility

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan få tilgang til informasjon om en brukers kontakter

Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.

CVE-2023-23541: Csaba Fitzl (@theevilbit) fra Offensive Security

App Store

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan få tilgang til sensitiv stedsinformasjon

Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.

CVE-2023-42830: Adam M.

Oppføring lagt til 31. oktober 2023, oppdatert 16. juli 2024

Apple Neural Engine

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2023-23540: Mohamed GHANNAM (@_simo36)

CVE-2023-27959: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2023-27970: Mohamed GHANNAM

Apple Neural Engine

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan bryte ut av sandkassen

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2023-23532: Mohamed Ghannam (@_simo36)

AppleMobileFileIntegrity

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En bruker kan få tilgang til beskyttede deler av filsystemet

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2023-23527: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.

CVE-2023-27931: Mickey Jin (@patch1t)

Calendar

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Importering av en skadelig kalenderinvitasjon kan eksfiltrere brukerinformasjon

Beskrivelse: Flere valideringsproblemer ble løst gjennom forbedret inndatarensing.

CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)

Camera

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En sandkasseapp kan finne ut hvilken app som bruker kameraet for øyeblikket

Beskrivelse: Problemet ble løst gjennom tilleggsbegrensninger for observerbarheten av apptilstander.

CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)

CarPlay

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En bruker i en privilegert nettverksposisjon kan forårsake tjenestenekt

Beskrivelse: En bufferoverflyt ble løst gjennom forbedret grenseverdikontroll.

CVE-2023-23494: Itay Iellin fra General Motors Product Cyber Security

ColorSync

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan utilsiktet lese filer

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2023-27955: JeongOhKyea

Core Bluetooth

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av en skadelig Bluetooth-pakke kan føre til at prosessminne avsløres

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2023-23528: Jianjun Dai og Guang Gong fra 360 Vulnerability Research Institute

CoreCapture

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2023-28181: Tingting Yin fra Tsinghua University

CoreServices

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En sandkasseprosess kan omgå sandkasserestriksjoner

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2023-40398: Mickey Jin (@patch1t)

Oppføring lagt til 16. juli 2024

Find My

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan få tilgang til sensitiv stedsinformasjon

Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.

CVE-2023-28195: Adam M.

CVE-2023-23537: Adam M.

Oppføring oppdatert 21. desember 2023

FontParser

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av en fontfil kan føre til utilsiktet kodekjøring

Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2023-32366: Ye Zhang (@VAR10CK) fra Baidu Security

Oppføring lagt til 31. oktober 2023

FontParser

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av et skadelig bilde kan føre til at prosessminne avsløres

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2023-27956: Ye Zhang (@VAR10CK) fra Baidu Security

Oppføring oppdatert 31. oktober 2023

Foundation

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Analyse av en plist med skadelig utforming kan føre til uventet appavslutning eller utilsiktet kodekjøring

Beskrivelse: En heltallsoverskridelse ble løst med forbedret validering av inndata.

CVE-2023-27937: en anonym forsker

iCloud

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En fil fra en delt-av-meg-mappe i iCloud kan omgå Gatekeeper

Beskrivelse: Problemet ble løst gjennom tilleggskontroller i Gatekeeper for filer som lastes ned fra delt-av-meg-mapper i iCloud.

CVE-2023-23526: Jubaer Alnazi fra TRS Group of Companies

Identity Services

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan få tilgang til informasjon om en brukers kontakter

Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.

CVE-2023-27928: Csaba Fitzl (@theevilbit) fra Offensive Security

ImageIO

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av et skadelig bilde kan føre til at prosessminne avsløres

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2023-23535: ryuzaki

ImageIO

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av et skadelig bilde kan føre til at prosessminne avsløres

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2023-27929: Meysam Firouzi (@R00tkitSMM) fra Mbition Mercedes-Benz Innovation Lab og jzhu i samarbeid med Trend Micro Zero Day Initiative

ImageIO

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av et bilde kan føre til at prosessminne avsløres

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2023-42862: Meysam Firouzi (@R00tkitSMM) fra Mbition Mercedes-Benz Innovation Lab

CVE-2023-42865: jzhu i samarbeid med Trend Micro Zero Day Initiative og Meysam Firouzi (@R00tkitSMM) fra Mbition Mercedes-Benz Innovation Lab

Oppføring lagt til 21. desember 2023

Kernel

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En bruker kan forårsake tjenestenekt

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2023-28187: Pan ZhenPeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd.

Oppføring lagt til 31. oktober 2023

Kernel

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan forårsake tjenestenekt

Beskrivelse: Et problem med heltallsoverflyt ble løst gjennom forbedret validering av inndata.

CVE-2023-28185: Pan ZhenPeng (@) fra STAR Labs SG Pte. Ltd.

Oppføring lagt til 31. oktober 2023

Kernel

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En angriper som allerede har oppnådd kjernekodekjøring, kan forbigå skadebegrensende tiltak for kjerneminnet

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2023-32424: Zechao Cai (@Zech4o) fra Zhejiang-universitetet

Oppføring lagt til 31. oktober 2023

Kernel

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2023-27969: Adam Doupé fra ASU SEFCOM

Kernel

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app med rotrettigheter kan kjøre utilsiktet kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2023-27933: sqrtpwn

Kernel

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedret grenseverdikontroll.

CVE-2023-23536: Félix Poulin-Bélanger og David Pan Ogea

Oppføring lagt til 1. mai 2023 og oppdatert 31. oktober 2023

LaunchServices

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Det kan hende at karanteneflagget ikke blir gjort gjeldende for filer som lastes ned fra internett

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2023-27943: En anonym forsker, Brandon Dalton (@partyD0lphin) fra Red Canary, Milan Tenk og Arthur Valiev fra F-Secure Corporation.

Oppføring oppdatert 31. oktober 2023

LaunchServices

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan få rotrettigheter

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2023-23525: Mickey Jin (@patch1t)

libpthread

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret kontroll.

CVE-2023-41075: Zweig fra Kunlun Lab

Oppføring lagt til 21. desember 2023

Magnifier

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En person med fysisk tilgang til en iOS-enhet kan se det siste bildet som ble brukt i Lupe, fra låst skjerm

Beskrivelse: Dette problemet ble løst gjennom begrensning av valgene som tilbys på en låst enhet.

CVE-2022-46724: Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College Of Technology Bhopal

Oppføring lagt til 1. august 2023

NetworkExtension

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En bruker i en privilegert nettverksposisjon kan forfalske en VPN-server som er konfigurert med autentisering kun via EAP på en enhet

Beskrivelse: Problemet ble løst gjennom forbedret autentisering.

CVE-2023-28182: Zhuowei Zhang

Photos

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Bilder i albumet Skjulte bilder kan være synlige uten autentisering via Visuelt søk

Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.

CVE-2023-23523: developStorm

Podcasts

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2023-27942: Mickey Jin (@patch1t)

Safari

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan uventet opprette et bokmerke på Hjem-skjermen

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2023-28194: Anton Spivak

Sandbox

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan omgå personvernpreferanser

Beskrivelse: Et logisk problem ble løst gjennom forbedret validering.

CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)

Shortcuts

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En snarvei kan bruke sensitive opplysninger gjennom visse handlinger uten å spørre brukeren

Beskrivelse: Problemet ble løst gjennom flere tillatelseskontroller.

CVE-2023-27963: Jubaer Alnazi Jabin fra TRS Group Of Companies og Wenchao Li og Xiaolong Bai fra Alibaba Group

TCC

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.

CVE-2023-27931: Mickey Jin (@patch1t)

TextKit

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En ekstern bruker kan forårsake tjenestenekt

Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret inndatavalidering.

CVE-2023-28188: Xin Huang (@11iaxH)

Oppføring lagt til 31. oktober 2023

WebKit

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Content Security Policy for blokkering av domener med jokertegn kan mislykkes

Beskrivelse: Et logisk problem ble løst gjennom forbedret validering.

WebKit Bugzilla: 250709

CVE-2023-32370: Gertjan Franken fra imec-DistriNet, KU Leuven

Oppføring lagt til 31. oktober 2023

WebKit

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av nettinnhold kan føre til utilsiktet kodekjøring

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

WebKit Bugzilla: 250429

CVE-2023-28198: hazbinhotel i samarbeid med Trend Micro Zero Day Initiative

Oppføring lagt til 1. august 2023

WebKit

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Besøk på et skadelig nettsted kan føre til falske adresselinjer

Beskrivelse: Det var et problem med forfalskning i håndteringen av URL-adresser. Problemet ble løst gjennom forbedret validering av inndata.

WebKit Bugzilla: 247289

CVE-2022-46725: Hyeon Park (@tree_segment) fra Team ApplePIE

Oppføring lagt til 1. august 2023, oppdatert 21. desember 2023

WebKit

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av nettinnhold kan føre til utilsiktet kodekjøring. Apple er klar over en rapport om at dette problemet kan ha blitt aktivt utnyttet mot versjoner av iOS utgitt før iOS 15.7.

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret tilstandshåndtering.?

WebKit Bugzilla: 251890

CVE-2023-32435: Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_), Boris Larin (@oct0xor) og Valentin Pashkov fra Kaspersky

Oppføring lagt til 21. juni 2023, oppdatert 1. august 2023

WebKit

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av skadelig nettinnhold kan omgå regelen for samme opprinnelse (Same Origin)

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

WebKit Bugzilla: 248615

CVE-2023-27932: en anonym forsker

WebKit

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Et nettsted kan spore sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst ved å fjerne informasjon om opprinnelse.

WebKit Bugzilla: 250837

CVE-2023-27954: en anonym forsker

WebKit

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Besøk på et skadelig nettsted kan føre til falske adresselinjer

Beskrivelse: Det var et problem med forfalskning i håndteringen av URL-adresser. Problemet ble løst gjennom forbedret validering av inndata.

WebKit Bugzilla: 247287

CVE-2022-46705: Hyeon Park (@tree_segment) fra Team ApplePIE

Oppføring lagt til 1. mai 2023 og oppdatert 21. desember 2023

WebKit

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av en fil kan føre til tjenestenekt eller potensiell avsløring av minneinnhold

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

WebKit Bugzilla: 249434

CVE-2014-1745: en anonym forsker

Oppføring lagt til 21. desember 2023

WebKit PDF

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av nettinnhold kan føre til utilsiktet kodekjøring

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret kontroll.

WebKit Bugzilla: 249169

CVE-2023-32358: en anonym forsker i samarbeid med Trend Micro Zero Day Initiative

Oppføring lagt til 1. august 2023

WebKit Web Inspector

Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En ekstern angriper kan forårsake uventet appavslutning eller utilsiktet kodekjøring

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2023-28201: Dohyun Lee (@l33d0hyun), crixer (@pwning_me) fra SSD Labs

Oppføring lagt til 1. mai 2023

Ytterligere anerkjennelser

Activation Lock

Vi vil gjerne takke Christian Mina for hjelpen.

CFNetwork

Vi vil gjerne takke en anonym forsker for hjelpen.

Core Location

Vi vil gjerne takke IL, Diego Carvalho, Hamza Toğmuş, Liang Liu, Alex Tippets, WGM, Dennis, Dalton Gould, Alejandro Tejada Borges, Cosmin Iconaru, Chase Bigsby, Bikesh Bimali, Cal Rookard, Bashar Ajlani og Robert Kott for hjelpen.

Oppføring lagt til 1. mai 2023

CoreServices

Vi vil gjerne takke Mickey Jin (@patch1t) for hjelpen.

file_cmds

Vi vil gjerne takke Lukas Zronek for hjelpen.

Heimdal

Vi vil gjerne takke Evgeny Legerov fra Intevydis for hjelpen.

ImageIO

Vi vil gjerne takke Meysam Firouzi @R00tkitSMM for hjelpen.

Kernel

Vi vil gjerne takke Tim Michaud (@TimGMichaud) fra Moveworks.ai for hjelpen.

Oppføring lagt til 16. juli 2024

lldb

Vi vil gjerne takke James Duffy (mangoSecure) for hjelpen.

Oppføring lagt til 1. mai 2023

Mail

Vi vil gjerne takke Chen Zhang, Fabian Ising fra FH Münster University of Applied Sciences, Damian Poddebniak fra FH Münster University of Applied Sciences, Tobias Kappert fra Münster University of Applied Sciences, Christoph Saatjohann fra Münster University of Applied Sciences, Sebastian Schinzel fra Münster University of Applied Sciences og Merlin Chlosta fra CISPA Helmholtz Center for Information Security for hjelpen.

Oppføring oppdatert 1. mai 2023

Messages

Vi vil gjerne takke Idriss Riouak, Anıl özdil og Gurusharan Singh for hjelpen.

Oppføring lagt til 1. mai 2023

Password Manager

Vi vil gjerne takke OCA Creations LLC og Sebastian S. Andersen for hjelpen.

Oppføring lagt til 1. mai 2023

Safari Downloads

Vi vil gjerne takke Andrew Gonzalez for hjelpen.

Status Bar

Vi vil gjerne takke N og jiaxu li for hjelpen.

Oppføring oppdatert 21. desember 2023

Telephony

Vi vil gjerne takke CheolJun Park fra KAIST SysSec Lab for hjelpen.

WebKit

Vi vil gjerne takke en anonym forsker for hjelpen.

WebKit Web Inspector

Vi vil gjerne takke Dohyun Lee (@l33d0hyun) og crixer (@pwning_me) fra SSD Labs for hjelpen.

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: